Für die Cloud ist PRISM nichts Neues
Von Max Schulze, techconsult
Der PRISM-Skandal hat Auswirkungen auf die Planung und oder Nutzung von Cloud Services im deutschen Mittelstand. In Wirklichkeit spielt die Spionagewut für die Technologie allerdings eine weitaus weniger große Rolle als vermutet – bei Licht besehen sind die US-Abhörbefugnisse längst bekannt. PRISM rückt aber die grundlegende Vorabanalyse wieder in den Blickpunkt, mit der Unternehmen entscheiden, welche Daten sinnvoll für ein Cloud-Modell sind und welche Daten nach wie vor der klassischen Speicherung im Unternehmen vorbehalten bleiben sollen.
Für den Standort Deutschland sind die Enthüllungen zwiespältig: Eine erste Zwischenbilanz des IT-Cloud-Index Q3/2013 zeigt, dass die Skeptiker sich in ihrer kritischen Haltung bestärkt fühlen, während Unternehmen, die bereits Cloud-Lösungen im Einsatz haben, unbeirrt daran festhalten. Weil hierzulande das Misstrauen gegenüber US-amerikanischen Anbietern steigt, könnte der Skandal dem deutschen Cloud-Markt sogar zu unverhofften Gewinnen verhelfen und eine nachhaltige Etablierung deutscher Anbieter im europäischen Cloud-Sektor bewirken.
Ein Update für die Datendiebe
Seit Beginn der Langzeiterhebung zeigt sich, dass das Cloud-Nutzungsverhalten maßgeblich von den Faktoren Datenschutz und Datensicherheit abhängt. Wie sicher Daten in der Cloud sind, bestimmt maßgeblich die Antwort auf die Frage, inwieweit Unternehmen die Cloud-Technologie als strategische Komponente einsetzen. Seit der US-Geheimdienstmitarbeiter Edward Snowden Teile des NSA-Spionageprogramms PRISM offengelegt hat, stehen diese Themen stärker denn je im Fokus von Anwenderunternehmen bzw. potenziellen Anwendern von Cloud Services. Tatsächlich ist der Verdacht, dass die Überwachung nicht nur private Dienste wie soziale Netzwerke betrifft, sondern auch Business-Lösungen aus der Cloud, als realistisch anzusehen.
Die rasch aufflammende Empörung über die Aktivitäten des amerikanischen bzw. des britischen Geheimdienstes stehen jedoch im Kontrast zu dem, was die breite Öffentlichkeit schon seit Jahren weiß: Bereits im Jahr 2001 gab das europäische Parlament die Existenz des Spionagenetzes ECHELON (umgesetzt von den USA, Großbritannien, Australien, Neuseeland und Kanada) bekannt. ECHELON überwacht private und geschäftliche Telefongespräche, Faxverbindungen und Internet-Daten und wertet sie nach festgelegten Kriterien vollautomatisch aus. PRISM ist letztlich nichts anderes als eine Neuauflage dieses älteren Spionageprogramms mit den Möglichkeiten der Technologien von heute. Der von den USA als direkte Antwort auf die Terroranschläge vom 11. September 2001 ins Leben gerufene USA PATRIOT Act zeigt zudem ganz offiziell, dass u.a. der Zugriff auf Cloud-Daten amerikanischer Unternehmen durch US-Behörden schon lange möglich ist.
Vorentscheidung in der Datenwahl
Reaktionen, die Cloud Computing nun als „PRISM Cloud“ verspotten, wirken daher wenig glaubwürdig – und sie bilden zudem nicht die Mehrheitsmeinung der Unternehmen im deutschen Mittelstand ab.
Die überwiegende Mehrheit der Cloud-Nutzer sieht durch PRISM keinen Handlungsbedarf gegeben. (Bild: techconsult)
61 % der befragten Unternehmen, die Cloud Computing bereits einsetzen, gaben in der Befragungswelle zum IT-Cloud-Index des zweiten Quartals 2013 an, dass sie keine Konsequenzen aus den PRISM-Veröffentlichungen ziehen werden. Die Vorteile von Cloud Computing überwiegen offenbar die durch PRISM aufgeworfenen Bedenken. Jedes vierte Unternehmen der Befragung überlegt sich darüber hinaus genau, welche Daten letztendlich in die Cloud gegeben werden können und welche nicht, weil sie bei Veröffentlichung einen elementaren Schaden für das Unternehmen bedeuten würden.
19 % der Unternehmen, die bereits Cloud-Nutzer sind, möchten zukünftig ausschließlich auf die nach wie vor präferierte Cloud-Variante, die Private Cloud setzen, um größtmögliche Sicherheit für ihre Daten zu gewährleisten. Damit im Einklang steht der Wunsch von 17 % nach Cloud-Anbietern, deren Services auf deutschen Rechenzentren basieren.
Negative Auswirkungen hat PRISM auf den Durchdringungsgrad von Cloud-Lösungen im deutschen Mittelstand vor allem bei Unternehmen, die bislang noch nicht von der Cloud-Technologie überzeugt waren. Sie sehen sich durch die Bekanntmachung der Spionageaktivitäten in ihrer ablehnenden Haltung gegenüber Cloud-Services bestätigt. So lehnen es 38 % der befragten nach wie vor ab, zukünftig Cloud-Dienste einzusetzen und nennen PRISM als Multiplikator für ihre Ablehnung.
Wer bislang keine Cloud-Dienste genutzt hat, nutzt auch weiter keine. PRISM spielt bei der Entscheidung kaum eine Rolle. (Bild: techconsult)
Auffallend ist in dieser Befragungswelle jedoch das Ergebnis, dass fast jedes zweite Unternehmen Cloud-Lösungen völlig unabhängig vom Spionageskandal nicht einsetzen möchte, da der Bedarf schlichtweg nicht vorhanden sei. Dieses Resultat zeigt, dass der überwiegende Teil der befragten Unternehmen die Cloud-Technologie nicht im direkten Zusammenhang mit Spionageprogrammen sieht.
Wollte man Cloud-Lösungen aufgrund eines Spionageskandals vollständig ablehnen, würde das im Umkehrschluss bedeuten, dass man interne IT-Netze für sicher hält und davon ausgeht, dass sie nicht von Spionageangriffen betroffen sind. Dem ist allerdings nicht so. Das hat die Enthüllung des Tempora-Projekts des britischen Geheimdienstes offenbart. Es zapft gezielt Internet-Knotenpunkte und transatlantische Datenverbindungen an – und somit die Datenströme aus internen Unternehmensnetzwerken. Hinzu kommt noch die zunehmende Vielfalt der Kommunikationswege (Mobile Computing etc.), die weitere Einfallstore für Lauscher öffnet.
Zwischen Kosten, Nutzen und Risiken
Es bleibt die Frage, welche Konsequenzen Anwenderunternehmen aus dem Spionageskandal ziehen sollten. Die Antwort geben 28 % der befragten Unternehmen, die Cloud Services bereits nutzen: Nach wie vor gilt es genau abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringeren Sicherheitsstandards unterliegen können. Anschließend an die detaillierte Analyse der Gefährdungspotenziale können Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell entwickeln, um die Vorteile einer Private und einer Public Cloud zu kombinieren.
Höhere Priorität als bisher sollten auch die End-to-End-Sicherheitsmaßnahmen bekommen, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Auf diese Weise sollte sich die Lösung zwischen den bestehenden Risiken, den Umsetzungskosten und dem zu erwartenden Mehrwert austarieren lassen.
Fazit: Vertrauensbonus für Deutschland
Die bekannten Vorteile des Cloud-Computing-Modells (bestehend aus SaaS, IaaS und PaaS) haben sich auch durch PRISM nicht verändert und werden weiter ein fester Bestandteil in der IT-Landschaft sein. Den wirklich großen Schaden, den PRISM im Cloud Computing anrichtet, dürften die amerikanischen Cloud-Anbieter davontragen, die ihr Geschäft auch in Deutschland betreiben. Denn das Vertrauen in diese Anbieter – eine der wichtigsten Komponenten bei Cloud-Lösungen – dürfte nachhaltig gestört sein. Hier besteht nun die Chance für deutsche Cloud-Dienstleister, sich noch stärker als zuvor im europäischen Markt zu positionieren. Cloud Services „Made in Germany“, also in deutschen Rechenzentren beheimatete und mit End-to-End-Verschlüsselung bereitgestellte Dienste, dürften gute Argumente für eine langfristige Partnerschaft mit Anwenderunternehmen darstellen.
Nützliche Links
Mit dem IT-Cloud-Index präsentiert techconsult eine Langzeituntersuchung zum Stellenwert von Cloud Computing in mittelständischen Anwenderunternehmen. Neben der Veröffentlichung der aktuellen Studienergebnisse befindet sich auf dem Portal www.it-cloud-index.de ein Online-Benchmark-System für Anwenderunternehmen.